亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于多模態(tài)深度神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS攻擊檢測模型

        2022-04-18 14:44:14周奕濤劉自豪
        電子學(xué)報 2022年2期
        關(guān)鍵詞:應(yīng)用層神經(jīng)網(wǎng)絡(luò)流量

        周奕濤,張 斌,劉自豪

        (1. 戰(zhàn)略支援部隊信息工程大學(xué),河南鄭州 450001;2. 河南省信息安全重點實驗室,河南鄭州 450001;3.61660部隊,北京 100080)

        1 引言

        應(yīng)用層DDoS 攻擊具有隱蔽性強、使用合法連接、與正常用戶集中訪問(Flash Crowd)事件相似等特點,近年來得到快速發(fā)展,已逐步成為主流的DDoS 攻擊方式[1]. 近年來,研究者通過分析應(yīng)用層DDoS 攻擊與正常訪問之間的流量特征或用戶行為特征差異進(jìn)行攻擊檢測,該方向已成為研究熱點.

        目前,應(yīng)用層DDoS 攻擊檢測主要有三種方法. 第一種為基于人機測試的檢測方法. 這種方法通過向服務(wù)請求者發(fā)送人機測試問題,根據(jù)服務(wù)請求者的回答判斷身份,進(jìn)而實現(xiàn)應(yīng)用層DDoS 攻擊檢測. 例如CAPTCHA 方法[2],給予服務(wù)請求者人工容易解決而機器卻難以識別的問題,進(jìn)而識別攻擊者;以及Speak-up方法[3],通過要求服務(wù)請求者提高訪問速率以識別訪問速率達(dá)到上限的攻擊者. 這種方法簡單有效,但是需要消耗額外的服務(wù)器資源,并且會降低服務(wù)質(zhì)量[4]. 第二種為基于流量特征的檢測方法. 這種方法基于應(yīng)用層DDoS 攻擊對網(wǎng)絡(luò)流量的統(tǒng)計特征改變以實現(xiàn)攻擊檢測,通過提取區(qū)分度較高的流量特征,識別攻擊流量與正常流量,如基于機器學(xué)習(xí)的檢測方法[5],以及基于數(shù)學(xué)統(tǒng)計學(xué)的檢測方法[6]. 這種方法檢測速率快,支持實時檢測,但是難以區(qū)分Flash Crowd 事件與HTTP Flood攻擊[7]. 第三種為基于用戶行為特征的檢測方法,這種方法基于正常用戶與攻擊用戶訪問行為的差異性進(jìn)行攻擊檢測,如基于訪問順序的檢測方法[8]以及基于用戶行為特征聚類的檢測方法[9]. 這種方法檢測準(zhǔn)確率較高,對Flash Crowd 事件與HTTP Flood 攻擊具有一定的區(qū)分能力,但是建模復(fù)雜,檢測速率較慢,對用戶訪問記錄較少的Slow DDoS攻擊檢測準(zhǔn)確率較低[7].

        為進(jìn)一步提升應(yīng)用層DDoS 攻擊檢測準(zhǔn)確率,提出一種基于MDL(Multimodal Deep Learning)神經(jīng)網(wǎng)絡(luò)結(jié)合流量與用戶行為特征的應(yīng)用層DDoS 攻擊檢測模型.有效區(qū)分Flash Crowd 事件與HTTP Flood 攻擊,同時對Slow DDoS 攻擊同樣具備良好的檢測能力,實現(xiàn)更為全面的應(yīng)用層DDoS 攻擊檢測. 同時,為減少MDL 神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)參數(shù)更新過程中的災(zāi)難性遺忘現(xiàn)象[10],實現(xiàn)檢測模型參數(shù)的高效更新,針對MDL 神經(jīng)網(wǎng)絡(luò)提出一種基于EWC(Elastic Weight Consolidation)算法[11]的模型參數(shù)高效更新方法EWC-UD,無需存儲原始數(shù)據(jù)集,即可在不丟失原有知識的前提下,獲得對新數(shù)據(jù)的檢測能力,提升檢測模型的更新性能.

        2 基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測模型

        2.1 應(yīng)用層DDoS攻擊檢測流程

        為獲得流量與用戶行為特征,分別從網(wǎng)絡(luò)關(guān)鍵節(jié)點處部署嗅探器以收集網(wǎng)絡(luò)數(shù)據(jù)包Pcap 文件,以及從網(wǎng)頁服務(wù)器主機上收集服務(wù)器日志.Pcap 文件主要記錄流經(jīng)網(wǎng)絡(luò)關(guān)鍵節(jié)點處的數(shù)據(jù)包信息,通過統(tǒng)計Pcap文件信息,可以得到反映網(wǎng)絡(luò)數(shù)據(jù)流的流量大小、流量速率、數(shù)據(jù)包分片信息等流量特征,而網(wǎng)頁服務(wù)器日志主要記錄用戶請求網(wǎng)頁的內(nèi)容、訪問順序、請求狀態(tài)碼等信息,通過統(tǒng)計網(wǎng)頁服務(wù)器日志,可以得到用戶訪問請求成功率、閱讀時間等用戶行為特征.

        流量與用戶行為特征經(jīng)過提取后輸入多模態(tài)深度神經(jīng)網(wǎng)絡(luò). 多模態(tài)深度神經(jīng)網(wǎng)絡(luò)由多個深度神經(jīng)網(wǎng)絡(luò)構(gòu)成,流量特征向量與用戶行為特征向量分別輸入獨立的流量深度神經(jīng)網(wǎng)絡(luò)(Traffic Deep Neural Network,TDNN)與用戶行為深度神經(jīng)網(wǎng)絡(luò)(User-behavior Deep Neural Network,U-DNN),T-DNN 與U-DNN 通過全連接的多層神經(jīng)元將流量與用戶行為特征向量轉(zhuǎn)換為深層抽象特征,以相同形式表示流量與用戶行為特征,從而實現(xiàn)特征結(jié)合. 隨后,通過一個匯聚神經(jīng)網(wǎng)絡(luò)(Merge Deep Neural Network,M-DNN)將流量與用戶行為的深層抽象特征進(jìn)行匯聚并輸出最終結(jié)果.

        2.2 基于EWC算法的模型參數(shù)更新方法

        MDL 神經(jīng)網(wǎng)絡(luò)作為連接性神經(jīng)網(wǎng)絡(luò),在參數(shù)更新過程中存在災(zāi)難性遺忘問題,即對新數(shù)據(jù)集的學(xué)習(xí)可能導(dǎo)致神經(jīng)網(wǎng)絡(luò)遺忘初始數(shù)據(jù)集知識,使得對初始數(shù)據(jù)集所反映攻擊類型的檢測效果下降. 因此,針對MDL神經(jīng)網(wǎng)絡(luò),設(shè)計了一種基于EWC 算法的模型參數(shù)更新方法EWC-UD,無需存儲全部原始數(shù)據(jù),僅需原始數(shù)據(jù)的少量抽樣以及現(xiàn)有的神經(jīng)網(wǎng)絡(luò)參數(shù),即可實現(xiàn)模型更新.

        設(shè)NSample為費雪信息矩陣計算樣本數(shù),θi(i∈{1,2,…,N})為MDL 神經(jīng)網(wǎng)絡(luò)參數(shù),其中N為MDL神經(jīng)網(wǎng)絡(luò)參數(shù)數(shù)目,F(xiàn)為費雪信息矩陣,LB(θ)為僅訓(xùn)練新數(shù)據(jù)集訓(xùn)練過程的損失函數(shù),LEWC-UD(θ)為EWC-UD方法訓(xùn)練過程中的損失函數(shù),yp(x)為MDL 神經(jīng)網(wǎng)絡(luò)預(yù)測輸出.

        首先,利用原數(shù)據(jù)的少量樣本,與現(xiàn)有的MDL神經(jīng)網(wǎng)絡(luò)參數(shù)計算MDL神經(jīng)網(wǎng)絡(luò)輸出關(guān)于神經(jīng)網(wǎng)絡(luò)參數(shù)的一階導(dǎo)數(shù),以獲得反映現(xiàn)有神經(jīng)網(wǎng)絡(luò)參數(shù)對初始數(shù)據(jù)集重要程度的費雪信息矩陣,如下式所示:

        式(1)中,i,j分別為費雪信息矩陣的行標(biāo)與列標(biāo).在之后的更新過程中,根據(jù)式(1)得到MDL神經(jīng)網(wǎng)絡(luò)參數(shù)對應(yīng)的重要程度參數(shù),即費雪信息矩陣的對角元素后,修改更新過程的損失函數(shù),為重要的MDL神經(jīng)網(wǎng)絡(luò)參數(shù)增加懲罰項,使其在更新過程中難以改變,如下式所示:

        2.3 基于K-Means算法的數(shù)據(jù)篩選方法

        記初始數(shù)據(jù)集A、新數(shù)據(jù)集B 為DA、DB,θA、θB、θA,B分別為MLP 神經(jīng)網(wǎng)絡(luò)分別在DA、DB以及聯(lián)合DA與DB下訓(xùn)練后的模型參數(shù),設(shè)θEWC-UD為經(jīng)過EWC-UD 更新后的模型參數(shù).

        EWC-UD 方法正確性證明需要將神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程看作條件概率的尋優(yōu)過程,從而證明θA,B與θEWC-UD近似相等. 而在聯(lián)合數(shù)據(jù)集DA、DB下訓(xùn)練神經(jīng)網(wǎng)絡(luò)的過程可表示為:θA,B=argmaxθ(log(P(θ|DA,DB))). 若數(shù)據(jù)集DA、DB具有較強獨立性,根據(jù)條件概率公式與貝葉斯公式,log(P(θ|DA,DB)可以拆分為下式:

        其中,logP(DB|θ)可看作為訓(xùn)練過程中的交叉熵函數(shù)LB(θ),logP(θ|DA)經(jīng)過拉普拉斯對角近似后,忽略3 次方及以上項后可表示為

        logP(DB)為常數(shù). 綜上對式(3)改寫后,對參數(shù)θ進(jìn)行尋優(yōu)可得

        綜上,EWC-UD 更新方法的正確性前提是要求初始數(shù)據(jù)集與新數(shù)據(jù)集具有較強的獨立性. 因此,設(shè)計一種基于K-Means 聚類方法的數(shù)據(jù)篩選方法,如圖1所示.

        圖1 K-Means數(shù)據(jù)篩選方法圖示

        圖1 中,空白節(jié)點表示初始數(shù)據(jù)集數(shù)據(jù),黑色節(jié)點表示新數(shù)據(jù). 假設(shè)聚類簇劃分為(C1,C2,C3,…,Ck),每個類簇存在一個質(zhì)心,K-Means 算法通過最小化平方誤差,讓類簇內(nèi)的點盡可能密集,從而實現(xiàn)聚類效果. 采用該類方法,可以有效防止因初始數(shù)據(jù)集與新數(shù)據(jù)集相關(guān)性過高而導(dǎo)致的更新失敗問題,同時過濾了重復(fù)數(shù)據(jù),減少模型參數(shù)更新過程的計算量,進(jìn)一步提升模型參數(shù)更新效率.

        3 實驗結(jié)果與分析

        實驗主要驗證多模態(tài)深度神經(jīng)網(wǎng)絡(luò)的檢測性能、EWC-UD 方法的更新性能、K-Means 數(shù)據(jù)篩選方法性能. 共使用3 個應(yīng)用層DDoS 攻擊數(shù)據(jù)集,包括CIC 2017 App-DDoS Dataset[12]、CES-CIC-IDS2018-AWS[13]以及CIC DDoS 2019[14]. 提取CES-CIC-IDS2018-AWS 中的DDoS 攻擊部分,與CIC 2017 App-DDoS Dataset 結(jié)合成為融合數(shù)據(jù)集(簡稱為Datasetold). 使用CIC DDoS 2019作為新數(shù)據(jù)集(簡稱為Datasetnew).

        3.1 基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測性能驗證

        為驗證流量與用戶行為特征分別對于HTTP Flood攻擊與Slow DDoS 攻擊的檢測能力,并驗證結(jié)合流量與用戶行為特征的檢測性能,以檢測準(zhǔn)確率(Accuracy)、F1 分?jǐn)?shù)(F1_Score)、以及ROC 曲線與X 軸所圍面積AUC作為評價參數(shù).

        基于流量特征、用戶行為特征以及結(jié)合流量與用戶行為特征的應(yīng)用層DDoS攻擊檢測結(jié)果如圖2所示.

        圖2 流量與用戶行為特征對各類應(yīng)用層DDoS攻擊檢測性能比較

        實驗表明,基于流量特征與基于用戶行為特征對HTTP Flood 與Slow DDoS 攻擊具有不同的檢測性能.HTTP Flood 攻擊使用合法數(shù)據(jù)包,流量統(tǒng)計特征與Flash Crowd 事件較為相似,但是請求分布隨機,規(guī)律性較差,與正常用戶訪問行為存在較大差異,因此使用用戶行為特征可以取得較好的檢測效果,而使用流量特征則檢測效果欠佳. 而Slow DDoS攻擊通常采用少量而持續(xù)時間長的請求消耗服務(wù)器資源,其數(shù)據(jù)包分段信息等流量統(tǒng)計特征會發(fā)生較大改變,但是導(dǎo)致用戶日志記錄較少,因此使用用戶行為特征對這類攻擊難以檢測,而基于流量特征則取得比較好的檢測效果. 而所提模型結(jié)合流量與用戶行為特征,對HTTP Flood 攻擊與Slow DDoS 攻擊都取得了更好的檢測效果,在整體檢測中表現(xiàn)同樣為最優(yōu).

        3.2 EWC-UD模型參數(shù)更新方法性能驗證

        為驗證所提EWC-UD 方法的模型參數(shù)更新性能,設(shè)置以下兩類場景:

        場景1:模型參數(shù)訓(xùn)練數(shù)據(jù)集為Datasetold,模型參數(shù)更新數(shù)據(jù)集為Datasetnew. 該場景模擬檢測模型在一段時間內(nèi)進(jìn)行計劃內(nèi)更新的情況.

        場景2:模型參數(shù)訓(xùn)練數(shù)據(jù)集為Datasetold,模型參數(shù)更新數(shù)據(jù)集為CIC DDoS 2019 中的Portmap 攻擊數(shù)據(jù),該場景模擬檢測模型在發(fā)現(xiàn)新型應(yīng)用層DDoS 攻擊后進(jìn)行緊急更新的場景.

        設(shè)置以下兩種MLP 神經(jīng)網(wǎng)絡(luò)更新方式作為EWCUD方法的對照組:

        MLP_New:以Datasetold作為模型原參數(shù)訓(xùn)練數(shù)據(jù)集,以Datasetnew作為模型參數(shù)更新所用數(shù)據(jù)集.

        MLP_Whole:以Datasetold作為模型原參數(shù)訓(xùn)練數(shù)據(jù)集,以Datasetold與Datasetnew的融合數(shù)據(jù)集作為模型參數(shù)更新所用數(shù)據(jù)集.

        EWC-UD 模型參數(shù)更新方法更新性能驗證實驗結(jié)果如表1所示.

        表1 各類檢測模型參數(shù)更新方法性能

        實驗表明,EWC-UD 方法在場景1 與場景2 下都具備優(yōu)秀的模型參數(shù)更新性能,相較于MLP_Whole 方法,檢測性能幾乎無差別,但時間與空間開銷顯著下降.

        3.3 K-Means數(shù)據(jù)篩選方法性能驗證

        以Datasetold為模型參數(shù)訓(xùn)練數(shù)據(jù)集,以Datasetnew為更新數(shù)據(jù)集,分別隨機抽樣初始數(shù)據(jù)集的1%、2%、3%、4%、5%的數(shù)據(jù)樣本,并與新數(shù)據(jù)集進(jìn)行合并. 以初始數(shù)據(jù)集與新數(shù)據(jù)集的融合數(shù)據(jù)集作為測試數(shù)據(jù)集,進(jìn)行5次重復(fù)實驗,計算經(jīng)過EWC-UD方法進(jìn)行模型參數(shù)更新后,檢測模型的檢測準(zhǔn)確率、F1分?jǐn)?shù)、召回率、精確率的實驗平均值,并與經(jīng)過K-Means數(shù)據(jù)篩選后再經(jīng)過EWC-UD 方法進(jìn)行模型參數(shù)更新后的檢測模型進(jìn)行對比,實驗結(jié)果如表2所示.

        表2 K-Means數(shù)據(jù)篩選方法性能驗證

        實驗表明,隨著初始數(shù)據(jù)集與新數(shù)據(jù)集相關(guān)程度的增加,EWC-UD 方法的更新性能顯著下降,而經(jīng)過數(shù)據(jù)篩選,刪除與聚類中心點過近的重復(fù)數(shù)據(jù)后,EWCUD 方法的更新性能始終保持在較高水平,表明KMeans 數(shù)據(jù)篩選方法可有效改善EWC-UD 方法難以處理相關(guān)性過高數(shù)據(jù)集的問題.

        4 總結(jié)

        提出了一種基于MDL 神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測模型,結(jié)合流量與用戶行為特征對應(yīng)用層DDoS攻擊進(jìn)行檢測. 同時設(shè)計了一類高效的模型更新方法EWC-UD,并針對EWC 算法對初始數(shù)據(jù)集與新數(shù)據(jù)集獨立性要求較高的問題,提出一種K-Means數(shù)據(jù)篩選方法,實現(xiàn)了應(yīng)用層DDoS 攻擊模型的高效更新. 實驗表明,所提模型具備良好的應(yīng)用層DDoS 攻擊檢測性能,且具有較高的模型參數(shù)更新效率.

        猜你喜歡
        應(yīng)用層神經(jīng)網(wǎng)絡(luò)流量
        冰墩墩背后的流量密碼
        玩具世界(2022年2期)2022-06-15 07:35:36
        張曉明:流量決定勝負(fù)!三大流量高地裂變無限可能!
        尋找書業(yè)新流量
        出版人(2020年4期)2020-11-14 08:34:26
        神經(jīng)網(wǎng)絡(luò)抑制無線通信干擾探究
        電子制作(2019年19期)2019-11-23 08:42:00
        基于分級保護的OA系統(tǒng)應(yīng)用層訪問控制研究
        新一代雙向互動電力線通信技術(shù)的應(yīng)用層協(xié)議研究
        基于神經(jīng)網(wǎng)絡(luò)的拉矯機控制模型建立
        重型機械(2016年1期)2016-03-01 03:42:04
        復(fù)數(shù)神經(jīng)網(wǎng)絡(luò)在基于WiFi的室內(nèi)LBS應(yīng)用
        物聯(lián)網(wǎng)技術(shù)在信息機房制冷系統(tǒng)中的應(yīng)用
        基于支持向量機回歸和RBF神經(jīng)網(wǎng)絡(luò)的PID整定
        国精产品一品二品国在线| 小池里奈第一部av在线观看| 亚洲男人天堂一区二区| 狠狠噜天天噜日日噜无码| 奇米影视久久777中文字幕 | 国产三级伦理视频在线| 国产性感丝袜在线观看| 亚洲熟女乱综合一区二区| 中文字幕第1页中文字幕在| 亚洲人成伊人成综合网中文| 国产精品午夜夜伦鲁鲁| 久久亚洲私人国产精品va| 国产网站视频| 中文字幕久久人妻av| 一边摸一边做爽的视频17国产 | 男ji大巴进入女人的视频小说| 日韩在线无| 韩国免费一级a一片在线| 久久精品人搡人妻人少妇| 首页 综合国产 亚洲 丝袜| 久久精品国产99久久丝袜| 亚洲一区二区三区码精品色| 久久亚洲av成人无码国产最大| 午夜三级a三级三点| 99re国产电影精品| 粉嫩的极品女神尤物在线| 7m精品福利视频导航| 水蜜桃久久| 日本岛国视频在线观看一区二区 | 日本少妇春药特殊按摩3| 中国精学生妹品射精久久| 久久精品国产亚洲av麻豆四虎| 久久久精品亚洲一区二区国产av| 免费人妻无码不卡中文字幕18禁| 传媒在线无码| 日本成人精品一区二区三区| 欧美人与动性xxxxx杂性| 麻豆国产人妻欲求不满| 国产亚洲午夜高清国产拍精品不卡 | 丰满人妻AV无码一区二区三区| 成人av毛片免费大全|